פוסט אורח – GDPR והגנת הפרטיות
מאת: יורם ליכטנשטיין, עו"ד ומוסמך פרטיות באירופה, CIPP/E.
ה-GDPR הינה רגולציה אירופית מקיפה המתמקדת בהגנת הפרטיות והגנת מידע אישי. על אף מקורה באירופה, ישנם עסקים ישראלים רבים שיהיו כפופים לה, ולכן חשוב שתבדקו את עצמכם ובמידת הצורך תכינו את עצמכם.
כלל האצבע קובע שהרגולציה חלה על אחד מאלו:
- עסק עם משרדים, אתר אינטרנט מקומי ובכלל, פעילות מסחרית באחת ממדינות אירופה.
- עסק שמוכר מוצרים או שירותים לאחת ממדינות אירופה.
- עסק שאוסף, שומר או מטפל במידע אודות אנשים שנמצאים באירופה או התנהגות שבוצעה באירופה (כמו גלישה באתר האינטרנט שלכם).
מעבר לכך, גם הדין הישראלי אימץ אלמנטים משמעותיים שנכללו באותה רגולציה (דוגמת תקנות הגנת הפרטיות (אבטחת מידע), תשע"ז-2017 והוראות חקיקה אחרות בחוק הגנת הפרטיות), ולכן, כדאי יהיה לבדוק ולטפל בנושא הגנת הפרטיות והמידע האישי הנאגר אצלכם שכן הדין הישראלי חל על כל העסקים בישראל.
על מנת להקל עליכם, אנחנו מציעים מספר הנחיות ראשוניות אשר יקרבו אתכם למצב של הבנה וטיפול ראוי בנושאי הגנת הפרטיות, הן לפי ה-GDPR באירופה והן לפי דיני הגנת הפרטיות הישראלים.
נטילת אחריות – Accountability
הרכיב המהותי ביותר בדיני הגנת הפרטיות השונים וברגולציה, הוא הכרת העסק (על כל דרגיו המקצועיים, החל מהדירקטורים וכלה בפקידי הקבלה ועובדי האבטחה) בחובה המוטלת עליו להזהר בפרטיותו של מידע אישי הנאסף ומעובד על ידו.
חשוב שהדירקטוריון יהיה מודע לחובות המוטלות עליו וידאג להנחיה של כל דרגי החברה בנושא זה, לרבות אנשי הכספים, אנשי המכירות, אנשי הפיתוח, אנשי התמיכה הטכנית וכדומה. על כל תפקיד מוטלות חובות שראוי שיהיה מודע להן.
שקיפות
ככל שתוגש כנגד העסק תביעה שעניינה הפרת חובת הגנת הפרטיות, והעסק לא יוכל להראות כי פירט בפני נשוא המידע את מלוא פעולות האיסוף, העיבוד, העברת המידע והשמדתו, בצורה ברורה ונכונה – יחשוף הדבר את העסק לסנקציות משמעותיות, הן מבחינת הערכאות המשפטיות והן מבחינת הגופים הרגולטוריים (ב-GDPR למשל ישנם קנסות העלולים במקרים מסויימים של התעלמות מהרגולציה כדי 20,000,000 אירו…).
הצהרה שנוסחה באופן ברור, מלא וחד משמעי, הצהרת מטרת האיסוף, פעולות העיבוד וההעברה שיבוצעו וכן עם קבלת הסכמת נשוא המידע לכל אותן פעולות המבוצעות במידע, הינה הכרח הן לפי הדין האירופי והן לפי הכיוון שהדין הישראלי צועד בו.
התאמת נהלים ומדינויות
נהלי טיפול במידע אישי המופנים לעובדים החברה, מדיניות פרטיות ועיבוד מידע אישי המופנית לנשואי המידע (דוגמת לקוחות העסק, ספקיו, המשתמשים באתר האינטרנט שלו) וכדומה הינם נהלים ומסמכים שיש להגדיר מראש, לפרט בצורה נכונה ולעמוד בהם.
ביחנו את עצמכם, בדקו כיצד עליכם לפעול והגדירו זאת במקומות הנכונים.
הגבלת האיסוף והשימושים במידע
אין זה ראוי לאסוף כמה שיותר פרטים אישיים ולשמור אותם בחזקתכם זמן רב ככל האפשר. ההיפך הוא הנכון.
נתחו את השירות אותו אתם מציעים, וודאו אילו רכיבי מידע הכרחיים לכם ואילו אינם הכרחיים ואיספו רק את אלו שהם הכרחיים.
לאחר שנסתיים השירות, ואין צורך במידע – יש למחוק אותו. ככל שגם לאחר השירות יש צורך בשמירת מידע כזה או אחר (למשל לצרכי תיעוד, לצרכי מיסוי וכדומה), יש לשמור אך ורק את המידע הנדרש ולמחוק את כל השאר.
ניהול השותפים לעיבוד או קבלת המידע
פעמים רבות, המידע מועבר מהעסק לגופים העוסקים בעיבודו או בשימוש בו (למשל חברה השולחת עבורכם "ניוזלטר", חברות סליקה, חברות שרתי ענן דוגמת AWS של אמאזון או שירותיה של גוגל ענן) וכדומה.
יש לבחון את ההתקשרות ונוסח ההסכם עם אותם גופים, ולוודא שהיא תאפשר לכם להגן על עצמכם במקרי טענות שיועלו כנגדכם.
כיסוי אבטחת מידע
תקנות הגנת הפרטיות (אבטחת מידע) הישראליות קובעות סטנדרטים משמעותיים והן מחייבות את כולנו. ללא קשר לאירופה.
פעולה לפיהן ועמידה בהן הינה צעד חשוב ראשון. גופים מקצועיים כמו אורנסק ואחרים, וכן ליווי משפטי בנושא זה, ישפרו את עמידתכם ברגולציה האירופית.
